Un nuevo malware para Android está circulando y viene disfrazado de una supuesta app antivirus desarrollada por el Servicio Federal de Seguridad de Rusia (FSB). Pero en realidad, es una herramienta de espionaje que está siendo utilizada para atacar específicamente a ejecutivos de empresas rusas.
La amenaza fue descubierta por la firma de seguridad móvil Dr. Web, con sede en Rusia. En su último informe, los investigadores identificaron este software espía como 'Android.Backdoor.916.origin', y lo curioso es que no encaja con ninguna familia de malware conocida hasta ahora.
¿Y qué puede hacer este malware? Bastante más de lo que imaginas. Tiene la capacidad de espiar conversaciones, acceder a la cámara del dispositivo, grabar lo que escribes con un keylogger, y hasta extraer datos de apps de mensajería como WhatsApp o Telegram.
En resumen: si esta app termina en tu teléfono, los atacantes prácticamente tienen el control total.
Nuevo malware apunta a empresas rusas con apps falsas del FSB y Banco Central
Desde que se detectó por primera vez a inicios de 2025, este malware para Android no ha dejado de evolucionar. Han aparecido varias versiones nuevas en los últimos meses, lo que deja claro que sus desarrolladores siguen trabajando activamente en mejorarlo.
Todo apunta a que esta amenaza fue diseñada específicamente para atacar a empresas en Rusia. ¿Por qué? Por varias pistas: los métodos de distribución, los nombres utilizados en las apps falsas, y sobre todo, que la interfaz del supuesto antivirus solo está disponible en ruso. Eso indica con bastante claridad que los ciberdelincuentes están apuntando a un público muy específico.
Se han detectado al menos dos enfoques distintos en la forma de presentar la app. En uno de ellos, la aplicación se hace pasar por el Banco Central de Rusia bajo el nombre "GuardCB". En otros casos, las variantes utilizan nombres como "SECURITY_FSB" o directamente "ФСБ" (FSB), tratando de suplantar la identidad de la agencia de inteligencia rusa para ganar credibilidad.
Aunque en apariencia parece una herramienta legítima de seguridad, lo cierto es que no tiene ninguna función real de protección. Su único propósito es hacerse pasar por un antivirus auténtico para evitar que el usuario la elimine. Es, básicamente, una fachada diseñada para generar confianza mientras realiza tareas de espionaje en segundo plano.
Escaneo AV falso en la aplicación (Fuente: Dr. Web)
Cuando el usuario pulsa el botón de “escanear”, la app lanza una falsa simulación de análisis. En aproximadamente el 30% de los casos, muestra un resultado positivo ficticio, detectando entre 1 y 3 amenazas inventadas para parecer convincente y hacer creer que realmente está protegiendo el dispositivo.
Pero lo más preocupante ocurre justo después de la instalación: la aplicación comienza a pedir una larga lista de permisos sensibles, muchos de los cuales no tienen nada que ver con el funcionamiento de un antivirus real.
Entre ellos están el acceso a tu ubicación, archivos multimedia, mensajes SMS, así como permisos para grabar audio, usar la cámara, activar el servicio de accesibilidad (que permite tomar el control del dispositivo), e incluso ejecutarse en segundo plano constantemente, sin que el usuario se dé cuenta.
Permiso para eliminar todos los datos y cambiar la pantalla de bloqueo (izquierda) y la configuración de accesibilidad (derecha)
Podría interesarte leer: Cómo Defenderse de las Técnicas de Persistencia de Malware con Wazuh
El malware se conecta a servidores C2 y espía todo en tu dispositivo
Una vez que el malware está instalado, empieza a moverse rápido. Lanza varios procesos en segundo plano que le permiten conectarse a su servidor de comando y control (C2), desde donde recibe instrucciones para llevar a cabo una serie de acciones bastante invasivas.
Entre los comandos que puede ejecutar se encuentran:
-
Robar mensajes SMS, contactos, historial de llamadas, ubicación e incluso fotos almacenadas en el dispositivo.
-
Activar el micrófono, la cámara y hasta transmitir la pantalla en tiempo real, sin que el usuario lo sepa.
-
Capturar lo que escribes, incluyendo información sensible ingresada en apps como Telegram, WhatsApp, Gmail, Chrome o Yandex.
-
Ejecutar comandos a nivel de sistema (shell), mantenerse activo incluso después de reinicios, y activar mecanismos de autoprotección para evitar ser eliminado.
Una función especialmente llamativa es su capacidad para cambiar entre hasta 15 servicios de alojamiento distintos, lo que le permitiría seguir funcionando incluso si uno de sus servidores principales es bloqueado. Aunque esta función no está activa todavía, deja claro que el malware fue creado para ser resistente y difícil de neutralizar.
Además, se han publicado los indicadores de compromiso (IoCs) asociados a este malware, identificados como Android.Backdoor.916.origin, en un repositorio público de GitHub, lo que ayuda a investigadores y especialistas en seguridad a rastrear su actividad y prevenir nuevas infecciones.